脱壳基础知识入门和提高-----第二课 SEH技术

最新推荐文章于 2019-06-08 09:17:20 发布
最新推荐文章于 2019-06-08 09:17:20 发布
阅读量1.2k 收藏 1
点赞数
分类专栏: 安全 黑客 脱壳相关 文章标签: extension windows 解密 c 加密 语言

结构化异常处理(Structured Exception Handling,SEH)是Windows操作系统处理程序错误或异常的技术。SEH是Windows操作系统的一种系统机制,与特定的程序设计语言无关。
   外壳程序里大量地使用了SEH,如果不了解SEH,将会使你跟踪十分困难。

  SEH in ASM 研究(一)by hume   
  SEH in ASM 研究(二)by hume   
  Structured Exception Handling   
  加密与解密二版菜鸟学习笔记(2) - SEH 结构化异常处理 by ytcswb   

由于 Ollydbg   对SEH处理异常灵活,因此脱壳用Ollydbg会大大提高效率。

附CONTEXT结构环境:

代码:

typedef struct _CONTEXT {

 

/*000*/ DWORD       ContextFlags;

 

/*004*/ DWORD       Dr0;

/*008*/ DWORD       Dr1;

/*00C*/ DWORD       Dr2;

/*010*/ DWORD       Dr3;

/*014*/ DWORD       Dr6;

/*018*/ DWORD       Dr7;

 

/*01C*/ FLOATING_SAVE_AREA FloatSave;

 

/*08C*/ DWORD       SegGs;

/*090*/ DWORD       SegFs;

/*094*/ DWORD       SegEs;

/*098*/ DWORD       SegDs;

 

/*09C*/ DWORD       Edi;

/*0A0*/ DWORD       Esi;

/*0A4*/ DWORD       Ebx;

/*0A8*/ DWORD       Edx;

/*0AC*/ DWORD       Ecx;

/*0B0*/ DWORD       Eax;

 

/*0B4*/ DWORD       Ebp;

/*0B8*/ DWORD       Eip;

/*0BC*/ DWORD       SegCs;

/*0C0*/ DWORD       EFlags;

/*0C4*/ DWORD       Esp;

/*0C8*/ DWORD       SegSs;

 

/*0CC*/     BYTE    ExtendedRegisters[MAXIMUM_SUPPORTED_EXTENSION];

 

/*2CC*/ } CONTEXT;

 

 

 
艾伦之家
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SEH 技术实现 API Hook
03-25 905
SEH 技术实现 API Hook(作者:罗聪) 下载本节例子程序和源代码 (5.21 KB) 阅读本文之前,我先假设读者已经知道了 SEH 和 API Hook 的基本概念,因为我不打算在此进行扫盲工作。什么?你不懂什么叫 SEH 和 API Hook ?那……先去找点资料看看吧,到处
SEH技术
lwglucky的专栏
03-15 4520
结构化异常处理(StructuredExceptionHandling,SEH)是Windows操作系统处理程序错误或异常的技术SEHWindows操作系统的一种系统机制,与特定的程序设计语言无关。 外程序里大量地使用了SEH,如果不了解SEH,将会使你跟踪十分困难。 由于Ollydbg 对SEH处理异常灵活,因此脱壳用Ollydbg会大大提高效率。 附CONTEXT结构环境
脱壳艺术》学习笔记2--SEH检测调试器
FISH 的专栏
01-23 1965
 《脱壳艺术》学习笔记 2时间:2008年2月22日星期五,10时5分35秒 SEH 检测调试器 新建 vc++ Console 项目, 编写下面代码测试:int main(){ bool bIsInDebugger = true ;  try{   // 非法内存访问,会引发异常     int *p = NULL;   *p = 0;
结构化异常处理(SEH) 一
qq_36308972的博客
06-08 354
SEH 结构化异常处理(Structured Exception Handing)是Windows操作系统处理程序错误或异常的技术SEH是操作系统的一种系统机制,与特定的程序设计语言无关。 发生异常时系统的处理顺序 系统首先判断异常是否应发送给目标程序异常处理例程【如果决定应该发送,并且目标陈晓旭正在被调试,则系统挂起程序并向调试器发送EXCEPTION_DEBUG_EVENT消息。这个可以...
深入理解SEH
For Geek
05-08 1990
KiDispatchException我们已经知晓,其内核态的异常分发主要靠检测“KiDebugRoutine”,是否拥有调试器来实现,然后根据RtlDispatchException来调用内核的SEH来处理。对于PreviousMode为userMode而言,其SEH和VEH链最后是由KiUserDispatchException来处理的,所以我们这次深入看看KiUserDispatchExce...
libcc-s-seh-1.dll(附安装教程)
08-15
Windows平台上,SEH(Structured Exception Handling)是一种用于处理程序异常的技术,而libcc_s_seh-1.dll就是实现这一功能的关键组件。 当您尝试运行某个应用程序时,如果系统提示“找不到libcc_s_seh-1.dll”...
脱壳基础知识入门--强烈推荐
11-30
在当今的软件行业中,加技术已经成为常见的加密手段,它能保护软件免受逆向工程的攻击。脱壳,作为逆向工程中的重要环节...只有对这些基础知识和高级技术有了充分的认识,才能在软件安全和逆向工程的道路上走得更远。
x86_64-8.1.0-release-posix-seh-rt_v6-rev0.zip
07-03
在8.1.0版本中,GCC已经进行了大量优化,提高了编译速度和生成代码的质量,同时支持C++17等现代标准。 **POSIX**是Portable Operating System Interface的缩写,是一个标准,定义了操作系统应该提供给应用程序的一...
MinGW x86-64-8.1.0-release-posix-seh-rt-v6-rev0
最新发布
05-06
MinGW x86-64-8.1.0-release-posix-seh-rt-v6-rev0是针对64位Windows系统的一个编译环境,提供了GCC 8.1.0的编译器和其他工具,采用POSIX信号处理模型,适用于编写跨平台的C/C++代码,并且包含了实时库的第六个版本...
x86-64-12.2.0-release-posix-seh-msvcrt-rt-v10-rev2
02-25
该版本是12.2.0,定位为“release”发布版,具有POSIX线程(pthread)支持,使用SEH(结构化异常处理)机制,并且与Microsoft Visual C Runtime (MSVCRT) 的rt_v10库版本兼容,rev2代表这是该版本的第二次修订。...
SEH反调试的实现与调试
05-16
seh 调试 反调试 破解 代码 SEH反调试的实现与调试  在没有异常时永远都是错误的注册码,只有当触发异常时,程序才走到注册成功的地方…
深入解析结构化异常处理(SEH) - by Matt Pietrek
热门推荐
dvlinker的技术专栏
09-18 1万+
深入解析结构化异常处理(SEH) - by Matt Pietrek
破解入门(三)-----脱壳的常用方法
系统运维
06-09 1446
什么是 大家应该先明白“”的概念。在自然界中,我想大家对""这东西应该都不会陌生了,植物用它来保护种子,动物用它来保护身体等等。同样,在一些计算机软件里也有一段专门负责保护软件不被非法修改或反编译的程序。它们一般都是先于程序运行,拿到控制权,然后完成它们保护软件的任务。就像动植物的一般都是在身体外面一样理所当然(当然后来也出现了所谓的“中带籽”的)。由于这段程序和自然界的在...
的介绍以及脱壳常用思路【收藏】
晏斐的Blog
09-10 1621
一、概论出于程序作者想对程序资源压缩、注册保护的目的,把分为压缩加密两种UPX ASPCAK TELOCK PELITE NSPACK ...ARMADILLO ASPROTECT ACPROTECT EPE SVKP ...顾名思义,压缩只是为了减小程序体积对资源进行压缩,加密是程序输入表等等进行加密保护。当然加密的保护能力要强得多!二、常见脱壳方法  预备知识1.P
实践SEH攻击和虚函数攻击
houjingyi的博客
01-25 3314
试验工具:ollydbg(思考题程序见附件) 实验环境:windows2000虚拟机 1.目标 (1)了解SEH攻击及虚函数攻击的基本原理。 (2)通过调试SEH攻击代码,理解Windows异常处理机制,掌握针对SEH的攻击方式,并利用OllyDbg跟踪异常状态。 (3)调试虚函数攻击代码,理解虚函数工作机制与内存分布方式,掌握基本的虚函数攻击与计算方式,并可以用OllyDbg追踪。
加密解密二版菜鸟学习笔记(2) - SEH 结构化异常处理
vbsourcecode的专栏
11-02 1903
标 题: 【原创】加密解密二版菜鸟学习笔记(2) - SEH 结构化异常处理 作 者: ytcswb 时 间: 2005-02-01,16:40:24 链 接: http://bbs.pediy.com/showthread.php?t=10651 看学加密解密二版学习笔记(2) - SEH 结构化异常处理 [ 工 具 ] flyod1.10 [ 目 的 ] 学习SEH
WindowsSEH机理简要介绍
weixin_34408717的博客
03-16 237
1.异常分类 一般来说,我们把Exception分为2类,一类是CPU产生的异常,我们称之为CPU异常(或者硬件异常)。另一类为是通过调用RaiseException API产生的软件异常,我们称之为软件异常。 Windows使用同一的方式(KiDispatchException)来描述和分发这两类异常。但是,在处理各自异常时,会略有区别。 一般来说,异常处理过程可以分为2个阶段,第1...
x86_64-8.1.0-release-posix-seh-rt_v6-rev0
01-26
x86_64-8.1.0-release-posix-seh-rt_v6-rev0 是一个表示计算机体系结构和操作系统的版本号。x86_64表示这种体系结构是基于Intel和AMD的64位x86架构的。8.1.0表示操作系统的版本号,可能是某个Linux或Windows的版本。release表示这是正式发布的版本,而不是开发或测试版本。posix代表该操作系统遵循POSIX(可移植操作系统接口)标准,该标准用于定义操作系统与应用程序之间的接口。seh表示该版本支持Structured Exception Handling,这是一种在Windows操作系统中处理异常的机制。rt_v6代表这个版本中有一些实时(real-time)的组件,并且这是第6个版本。rev0表示这是初始版本,没有进行任何修订。 总而言之,x86_64-8.1.0-release-posix-seh-rt_v6-rev0 是一个64位计算机体系结构,基于x86架构的操作系统,它遵循POSIX标准、支持异常处理和实时组件,并且是初始版本。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值